Ngày 19 tháng 4 năm 2023Ravie LakshmananĐe dọa mạng / Phần mềm độc hại
Diễn viên gián điệp mạng bị theo dõi là đại bàng mù đã được liên kết với một chuỗi tấn công nhiều giai đoạn mới dẫn đến việc triển khai trojan truy cập từ xa NjRAT trên các hệ thống bị xâm nhập.
“Nhóm này được biết đến với việc sử dụng nhiều kỹ thuật tấn công tinh vi, bao gồm phần mềm độc hại tùy chỉnh, chiến thuật kỹ thuật xã hội và tấn công lừa đảo trực tuyến,” ThreatMon cho biết trong một báo cáo hôm thứ Ba.
Blind Eagle, còn được gọi là APT-C-36, là một nhóm nói tiếng Tây Ban Nha bị nghi ngờ, chủ yếu tấn công các tổ chức khu vực tư nhân và công cộng ở Colombia. Các cuộc tấn công do nhóm dàn dựng cũng nhắm vào Ecuador, Chile và Tây Ban Nha.
Các chuỗi lây nhiễm được Check Point và BlackBerry ghi lại trong năm nay đã tiết lộ việc sử dụng các mồi nhử lừa đảo để phân phối các dòng phần mềm độc hại hàng hóa như BitRAT, AsyncRAT và các trình tải Python trong bộ nhớ có khả năng khởi chạy tải trọng Meterpreter.
Phát hiện mới nhất từ ThreatMon đòi hỏi phải sử dụng trình tải xuống JavaScript để thực thi tập lệnh PowerShell được lưu trữ trong Discord CDN. Ngược lại, tập lệnh này sẽ loại bỏ một tập lệnh PowerShell khác và một tệp lô Windows, đồng thời lưu tệp VBScript trong thư mục khởi động Windows để đạt được sự bền bỉ.
Sau đó, mã VBScript được chạy để khởi chạy tệp bó, tệp này sau đó được giải mã nguồn để chạy tập lệnh PowerShell đã được phân phối trước đó cùng với nó. Ở giai đoạn cuối, tập lệnh PowerShell được sử dụng để thực thi njRAT.
“njRAT, còn được gọi là Bladabindi là một công cụ truy cập từ xa (RAT) với giao diện người dùng hoặc trojan cho phép chủ sở hữu chương trình kiểm soát máy tính của người dùng cuối”, công ty an ninh mạng cho biết.
